Die Frage bei Cyber-Vorfällen ist nicht ob es passiert, sondern wann es passiertDatum: 23.10.2023
Autor: Mia Volmuth
Cybersicherheit ist in allen Lebensbereichen extrem wichtig geworden. Warum es wichtig ist, wie arbeiten Cyber Security Experten, welche rechtliche Konsequenzen es haben kann, und viele andere Fragen beantworten Mitarbeiter der CERTAINITY und Dr. Helmut Liebel von der Anwaltskanzlei E+H.
Mia Volmut: Cyber Attacken passieren täglich. Cyber Security ist mittlerweile ein gut etablierter Begriff und es gibt unzählige Beispiele von Attacken weltweit – trotzdem gibt es noch viele Unternehmen die sich zu wenig mit dem Thema beschäftigen und auf mögliche Angriffe vorbereiten. Woran liegt es?
Florian Walther, Head of Defensive Security bei CERTAINITY:
Ganz grundsätzlich liegt es, glaube ich, daran, dass die Digitalisierung bisher ein eher schleichender Prozess war. Im Laufe der Zeit wurde immer mehr mit Computern digital gemacht aber man hat sich nicht so richtig um die Konsequenzen und Auswirkungen gekümmert. Das meine ich mit schleichend. Vor allem bei KMUs stellt man irgendwann fest wie abhängig man eigentlich ist, dass digitale Prozesse funktionieren, und wie wenig man sich darum gekümmert hat, dass das alles auch sicher ist, usw.
Manche Unternehmen verschließen sich weiterhin der Aufrüstung im digitalen Bereich; gerade „altgewachsene“, kleinere Unternehmen, da diese mit hohen Kosten verbunden ist. Das schließt auch die Sicherheitsmaßnahmen und Prozesse ein, die einem Unternehmen bei einem Cyber Angriff helfen könnten. Dass die entstehenden Kosten bei einem erfolgreichen Angriff deutlich höher sind, wird dabei meistens ignoriert.
Mia Volmut: Wie weit reichen die Konsequenzen eines Cyber Angriffs? Man liest in der Presse, dass sogar manche Unternehmen danach schließen mussten – wie realistisch ist so ein Szenario?
Florian Walther: Gerade in Zeiten wirtschaftlich angespannten Zeiten kann das relativ schnell passieren. So ein Ransomware-Vorfall zieht immer erhebliche (Folge-)Kosten nach sich. Für ein wirtschaftlich angeschlagenes Unternehmen, mit nicht oder nur unzureichender vorhandener Vorbereitung auf solch einen Vorfall, kann das durchaus die Insolvenz bedeuten. Daher predige ich auch immer, dass jeder Euro der in die CyberReadiness investiert wird, gut investiertes Geld ist. Vermutlich spart man mit jedem Euro den man in die Prävention steckt mindestens 100 Euro bei den (vermeidbaren) Folgekosten eines Vorfalls.
Clara Nowara bestätigt: Die Kosten, die bei einem Cyber Angriff anfallen können, sind horrend. Trotz des bekannten Risikos eines Cyber Angriffs sind die Kosten, die bei einem solchen Angriff anfallen können, nicht greifbar. Kosten die durch einen möglichen Imageverlust entstehen können sind gar nicht miteinkalkuliert.
Mia Volmut: Certainity betreibt ein erfolgreiches Incident Response Team. Florian, du bist als Head of Defensive Security bei Certainity für genau dieses Service verantwortlich. Könntest du mir einen Einblick in Eure Arbeit geben?
Florian Walther: Im Prinzip kann man sich das vorstellen wie bei der Feuerwehr. Man kann uns alarmieren wenn es “brennt“. Wir versuchen dann schnellstmöglich dem betroffenen Unternehmen zu helfen. In einem Erstgespräch wird der Sachverhalt geklärt, es werden Sofortmaßnahmen erörtert, Kontaktdaten ausgetauscht und (sichere) Kommunikationskanäle etabliert. Im Anschluss erhält der Kunde ein entsprechendes Angebot. Wenn das Angebot vom Kunden angenommen wird, legen wir los. Im Normalfall heißt das, dass wir mit den zuständigen Mitarbeitern des Kunden sofort Maßnahmen umsetzten, z.B. um den laufenden Angriff einzudämmen. Wenn nötig, schicken wir Mitarbeiter:innen mit entsprechender Ausrüstung vor Ort zum Kunden. Danach geht es dann darum den Angriff zu bereinigen; entweder indem wir den Angreifer aus der Infrastruktur rausschmeißen, sofern der Angriff noch im Gange ist, oder indem wir dem Kunden helfen z.B. einen Notbetrieb aufzubauen bzw. eine Wiederherstellung der Systeme unterstützen.
Macht es einen Unterschied aus, ob man sofort oder erst nach zB 24h Experten wie euch holt?
Florian Walther: Das macht einen sehr großen Unterschied. Wenn der Angriff bemerkt wird bevor der Angreifer sein Ziel erreicht hat, ist mit professioneller Hilfe noch vieles möglich. Wenn der Angreifer sein Ziel bereits erreicht hat, Daten abgeflossen und verschlüsselt sind und der Angreifer schon wider verschwunden ist - dann kann man oft nur wenig retten.
Leider ist es aber so, dass in der Praxis die meisten Angriffe erst sehr spät bemerkt werden. Wir sehen – leider muss man sagen – auch immer wieder Fälle in denen die betroffenen Unternehmen selbständig versuchen Angriffen zu begegnen, bevor sie sich an uns wenden. In den meisten Fällen geht das schief und verursacht hohe Folgekosten, die vermeidbar gewesen wären, wenn man frühestmöglich professionelle Hilfe hinzugezogen hätte.
Thomas sagt uns worauf es im Ernstfall ankommt:
Thomas Langthaler: Paradoxerweise wäre der erste Punkt den ich nennen würde – überspitzt gesagt – nichts zu tun. Direkt nach Bekanntwerden bzw. Eintreffen in blinden Aktionismus zu verfallen ist der Sache nicht dienlich. Vielmehr hole ich erst einen aktuellen Sachstand von allen Beteiligten ein und verschaffe mir so ein Bild der Gesamtlage.
Da es sich bei einem derartigen Incident um eine stressige und belastende Situation für alle handelt, versuche ich die Lage zu beruhigen, und den Beteiligten zu vermitteln, dass mit besonnenem Handeln einerseits der Schaden möglichst minimiert und andererseits der weitere Verlauf der Vorfallbehandlung reibungsloser gestaltet werden kann. Was die Fülle an Informationen angeht, sind Notizen natürlich unerlässlich. Ob die auf einem Block oder im Laptop landen, entscheide ich abhängig von der Situation. Sinnvoll ist es in jedem Fall, jede Notiz mit einem Zeitstempel zu versehen, um alle relevanten Abläufe im Nachgang rekonstruieren zu können. Zuletzt würde ich betonen, dass es nicht sinnvoll ist, sich als einziger Consultant vor Ort in den technischen Untiefen einzelner Systeme zu verlieren, da man auf diesem Weg garantiert Informationen verpasst und schlecht als Ansprechpartner für Kunden fungieren kann. Hier arbeiten wir im Team zusammen und geben bestimmte Fragestellungen an Kolleginnen und Kollegen off-site ab. Oder bearbeiten Sie abends, wenn nicht mehr beim Kunden vor Ort.
Mia Volmut: Herr Liebel, Sie sind Datenschutzexperte in der Kanzlei E+H Rechtsanwälte und genau mit diesem Thema bestens vertraut – was sind die rechtlichen Probleme, die bei einem Cyber Angriff entstehen?
Helmut Liebel: Ein Cyber Angriff wirft eine Vielzahl an rechtlichen Fragen auf. Ein besonders wichtiges Thema, das man bei jedem Cyber Angriff bedenken muss, ist die Verpflichtung zur Meldung des Vorfalls an die Datenschutzbehörde. Eine solche Verpflichtung besteht immer dann, wenn beim Angriff auch personenbezogene Daten betroffen sind und daher eine Verletzung des Datenschutzes zu befürchten ist. Ist dies der Fall, so muss unverzüglich, möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, eine Meldung an die Datenschutzbehörde erfolgen. Da diese Zeitspanne sehr kurz ist, ist “eine state-of-the-art” Datenschutz-Compliance im Unternehmen das um und auf. Dazu gehört insbesondere ein aktuelles und aussagekräftiges Verzeichnis von Verarbeitungstätigkeiten. Erst auf dieser Basis ist man als Unternehmen überhaupt in der Lage, die verpflichtenden Meldung an die Datenschutzbehörde zu erstatten. Dasselbe gilt für die verpflichtende Information von Vertragspartnern sowie betroffene Personen. Welche Meldungen zwingend durchgeführt werden müssen, muss im Anlassfall anhand der konkreten Umstände sehr rasch geprüft und entschieden werden. Aus diesem Grund sollte unmittelbar nach dem Bekanntwerden eines Cyber Angriffs ein auf Datenschutz spezialisierter Rechtsanwalt hinzugezogen werden.
Die rechtliche Beurteilung hängt naturgemäß entscheidend davon ab, ob tatsächlich Daten entwendet wurden. Dazu braucht es eine enge Abstimmung mit IT-Forensik-Spezialisten.
Mia Volmut: Und worauf muss aus rechtlicher Sicht bei diesen Meldungen geachtet werden?
Helmut Liebel: Werden diese Meldungen nicht oder nicht rechtzeitig mit gesetzlich vorgegebenen Mindestinformationen durchgeführt, drohen Geldbußen nach der DSGVO und zivilrechtliche Haftungen. Gleichzeitig sollten voreilige oder überschießende Meldungen vermieden werden, weil diese Informationen gegen das Unternehmen verwendet werden könnten. Auch sollten Meldungen nur dann durchgeführt werden, wenn diese zwingend erforderlich sind. Meldungen – auch wenn gesetzlich erforderlich – führen regelmäßig zu einem Imageschaden von Unternehmen und zu zahlreichen besorgten Anfragen von Kunden und anderen Vertragspartnern. Aus diesem Grund ist es wichtig, dass diese Meldungen zwar rechtlich richtig, aber auch sorgsam formuliert sind, um das Unternehmen nicht unnötig zu exponieren.
Mia Volmut: Besonders spannendes Thema ist Verhandlung mit Ransomware actors: kommt das vor?
Florian Walther: Entsprechende Forderungen gibt es eigentlich immer in Ransomware-Fällen; ob es auch zu Verhandlungen kommt steht auf einem ganz anderen Blatt. Generell wird nicht empfohlen Lösegeld zu zahlen. Lösegeldzahlungen befeuern nur das kriminelle Geschäftsmodell der Tätergruppen und wirken damit für alle potentiell Betroffenen – und das sind wir alle – kontraproduktiv.
Mia Volmut: Interessantes Thema: Table Top: Thomas, aus einem deiner Blogposts weiß ich, dass dich das besonders interessiert. kannst du uns da vielleicht noch etwas verraten, was wir in deinem Blogpost nicht lesen konnten?
Thomas Langthaler: Leider nicht allzu viel, wir sind ja der Verschwiegenheit verpflichtet, aber es freut mich immer wieder wie viel auch sehr gut aufgestellte Organisationen von diesen Table Tops profitieren, und auch wie schnell da tolle Ergebnisse herauskommen. Besonders die Interaktion von mehreren Teilen der Organisationen, die im Betriebsalltag nicht so viele Berührungspunkte haben zeigt eine Menge Verbesserungspotentiale, insbesondere in der Kommunikation und Vernetzung, auf. Das ist ohne einer Simulation kaum zu identifizieren und macht den Unternehmen häufig Lust auf mehr.
Mia Volmut: Herr Liebel, wer haftet eigentlich dafür, wenn Kundendaten gestohlen werden?
Helmut Liebel: Da die Täter regelmäßig nicht greifbar sind, wenden sich die Geschädigten an jenes Unternehmen, bei dem die Daten gestohlen wurden. Ob die Geschädigten Anspruch auf Schadenersatz haben, ist letztlich eine zivilrechtliche Frage. Um Ersatz eines Schadens zu erhalten, muss nach den Grundprinzipien des Schadenersatzrechts – neben dem Nachweis des Schadens – die Handlung des Schädigers (i) kausal, (ii) rechtswidrig und (iii) schuldhaft sein. Dabei kann es sich sowohl um materielle als auch immaterielle Schäden handeln; letztere sind in der Praxis schwierig zu beziffern und der genaue Umfang auch heftig umstritten. In bestehenden Vertragsverhältnissen sind natürlich auch im Fall eines Cyber Angriffs vereinbarte Haftungsbeschränkungen zu berücksichtigen. Da bei Cyber Angriffen oftmals Schäden entstehen, ist hier jedenfalls der Abschluss einer Cybercrime-Versicherung zu empfehlen, um hier nicht auf den Kosten sitzen zu bleiben.
Mia Volmut: Was ist also eurer Meinung nach das wichtigste an Vorbereitung, die gemacht werden kann?
Florian Walther: Die mit Abstand wichtigste Vorbereitung ist ein vernünftiges Backupkonzept mit sehr kurzen Wiederherstellungszeiten welches auch regelmäßig getestet wird. Wenn alle Stricke reißen ist das der eine alles entscheidende Anker, der über den Fortbestand des Unternehmens entscheidet.
Thomas Langthaler fügt hinzu: Für Unternehmen, die nicht groß genug sind, ein eigenes Security-Team zu unterhalten – geschweige denn ein dezidiertes Incident-Response-Team, ist die beste Maßnahme, einen möglichst kurzen Dienstweg zu einem Dienstleister wie uns zu unterhalten. Der Dienstleister kann dann im Ernstfall mit der nötigen Fachkenntnis an die Wiederherstellung und Aufarbeitung gehen.
Clara Nowara: Ziel ist es möglichst schnell auf Vorfälle zu reagieren, das kann man zum einen mit Softwarelösungen erreichen die bei der Detektion unterstützen, aber auch, und diese Vorbereitungsmaßnahmen sind für jedes Unternehmen unabhängig der Größe umsetzbar, mit der Erstellung von Incident Response Prozessen und Handlungskatalogen kann man viel organisatorischen Aufwand vermeiden und umgehend in die Notfallbehandlung einsteigen.
Mia Volmut: Es ist ja anscheinend im Cybersecurity Umfeld besonders schwierig an gute Leute zu kommen. Wie gehst es Dir, Florian, in deiner Practice damit?
Florian Walther: Natürlich ist es so, dass der Bedarf an IT-Sicherheitsexperten viel größer ist als das Angebot. Insofern ist es grundsätzlich schwierig Mitarbeiter:innen zu finden. Erstmal zahlen wir natürlich kompetitive Gehälter. Geld ist aber nicht alles und ab einer gewissen Gehaltsklasse verliert “mehr Gehalt” auch zunehmend an Anziehungskraft. Andere Faktoren sind für Mitarbeiter oft viel wichtiger, Stichwort Nachhaltigkeit, Unternehmenskultur, Vereinbarkeit von Beruf und Familie, Arbeitsbedingungen, das kollegiale Umfeld aber auch z.B. die Art von Projekten an denen man arbeitet, die Unterstützung zur persönlichen Entwicklung: also viele Themen die mit sog. Soft-Skills zu tun haben. Hier versuche ich zu Punkten. In diesen Bereichen haben wir gegenüber großen Unternehmen auch erhebliche Vorteile gerade, weil wir flexibel sind, flache Hierarchien und dadurch schnelle Entscheidungswege haben. Für meine Abteilung hat dieser Weg gut funktioniert, ich bin sehr glücklich über die großartigen Mitarbeiter:innen die wir als Team gewinnen konnten.
Mia Volmut: Und zum Schluss zusamenfassend: Also man kann sagen, Prävention spielt eine entscheidende Rolle – ist das richtig?
Florian Walther: Auf jeden Fall. Jeder Euro der in die Prävention solcher Vorfälle investiert wird ist gut angelegtes Geld. Die Frage bei Cyber-Vorfällen ist ja nicht ob es passiert, sondern wann es passiert.
Thomas Langthaler: Ich mag schlaue Zitate und halte es da gerne mit Benjamin Franklin: „By failing to prepare, you are preparing to fail”.
Die erste Verteidigungslinie sind und bleiben aufmerksame und geschulte Mitarbeiterinnen und Mitarbeiter. Notfallpläne, Telefonketten, usw. sollten klar kommuniziert und geprobt werden.
Mia Volmut: Vielen Dank allen Beteiligten für das interessante und informative Gespräch!